Visant à garantir la protection des informations personnelles des individus, le RGPD s’applique à tous les organismes traitant des données personnelles dans l’Union européenne ou des données relatives à des résidents européens. Découvrez les entreprises concernées par le RGPD et comment savoir si votre organisation doit appliquer le Règlement général sur la protection des données.
Qu’est-ce que le RGPD ?
Une réglementation encadrant le traitement des données personnelles
En vigueur depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est une réglementation européenne visant à garantir la protection des données personnelles des individus. Applicable à l'ensemble des 27 États membres de l'Union européenne (UE), le RGPD présente trois objectifs principaux :
- renforcer le droit des individus sur leurs données personnelles ;
- responsabiliser les entreprises et organisations traitant des informations personnelles ;
- renforcer la coopération entre les différents organismes chargés de la protection des données.
Un cadre pour mieux gérer les données personnelles
Dans cette optique, le RGPD impose plusieurs démarches obligatoires aux organisations traitant des données personnelles. Pour faciliter son application, la Cnil (Commission nationale de l'informatique et des libertés) a identifié les 4 actions principales à mettre en œuvre pour assurer sa conformité au RGPD.
- Créer un registre du traitement des données : après avoir listé l'ensemble des activités utilisant des données personnelles au sein de l'organisation (relation clients, recrutement, gestion du personnel, etc.), il faut créer un registre présentant ces données. Pour chaque activité, l'organisme doit définir l'objectif de la collecte des données, la nature des informations utilisées, les personnes y ayant accès et la durée de conservation.
- Trier les données : en s'appuyant sur le registre, l'organisation doit s'assurer qu'elle ne collecte que les données utiles pour son activité. Elle doit aussi vérifier qu'elle ne traite pas de données sensibles (ou que leur traitement est autorisé), que l'accès aux données est réservé aux personnes habilitées et que la durée de conservation est respectée.
- Appliquer le droit des personnes : les individus doivent être informés que leurs données sont collectées (objectif de la collecte, durée de conservation, activités en ayant l'usage, etc.). En outre, les personnes doivent pouvoir faire jouer leurs droits, notamment en matière d'accès, de rectification ou d'effacement de leurs données personnelles.
- Sécuriser les données : les organismes traitant des données doivent en garantir la sécurité, notamment contre le risque de perte ou de piratage. Plusieurs actions sont envisageables, dont le chiffrement des données par exemple.
Lire aussi : le traitement des données personnelles
Qui doit appliquer le RGPD ?
Les organismes traitant des données personnelles
Toute organisation traitant des données personnelles est concernée par le RGPD, dès lors que :
- elle est installée au sein de l'Union européenne ;
- son activité cible directement des résidents de l'UE.
Par conséquent, le Règlement général sur la protection des données s'applique à tous les organismes remplissant l’un de ces critères, indépendamment de :
- la nature de l'organisation : organisme privé ou public, entreprise, administration ou encore association à but non lucratif ;
- son envergure : de l'entreprise individuelle au groupe international ;
- sa localisation : le RGPD concerne les organisations établies dans l'UE et/ou traitant les données de résidents européens ;
- la nature de l'activité : commerciale, industrielle ou encore artisanale ;
- l'objet de l'utilisation : le RGPD s'applique aux organisations traitant des données, mais aussi à celles les collectant ou qui les archivent.
Les sous-traitants ayant la gestion de données
Le règlement concerne toutes les organisations traitant des données, que ce soit pour leur compte ou non. Par conséquent, le RGPD s'applique aussi aux sous-traitants traitant des données personnelles au profit d'autres organisations. Les lignes directrices adoptées par l'European data protection board (EDPB) les définissent comme étant « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Cela inclut notamment :
- les prestataires de services informatiques (maintenance, hébergement, sécurité, etc.) ;
- les intégrateurs de logiciels ;
- les agences marketing et de communication traitant des données personnelles pour le compte de leurs clients.
Dans le cadre du traitement de données pour le compte d'un tiers, les sous-traitants sont soumis à plusieurs obligations spécifiques. Ils doivent notamment :
- intégrer la protection des données dès la conception d'un service ou d'un produit ;
- conseiller leurs clients pour assurer la sécurité des données ;
- aider leurs clients à appliquer certaines facettes du RGPD (étude d'impact sur la vie privée, alerte de violation des données, etc.) ;
- tenir un registre des traitements réalisés pour le compte de leurs clients ;
- désigner un DPO (délégué à la protection des données).
Les entreprises traitant des données à risque
Les organisations traitant des données dites à risque sont d'autant plus concernées par le RGPD qu'elles doivent mettre en œuvre des mesures spécifiques pour en assurer la protection. C'est tout d'abord le cas si vous traitez des informations sensibles, relatives notamment à :
- l'origine ethnique ;
- les opinions religieuses, politiques et philosophiques ;
- l'appartenance à un syndicat ;
- l'orientation sexuelle ou la santé ;
- la génétique et la biométrie ;
- toute éventuelle infraction ou condamnation pénale.
Des mesures spécifiques sont également nécessaires, dont la réalisation d'un dossier d'analyse d'impact relative à la protection des données (DPIA), si l'objet ou l'effet de votre traitement est sensible. C'est le cas si votre activité porte sur :
- la notation d'un individu, d'un point de vue financier par exemple ;
- une prise de décision automatisée ;
- la surveillance des personnes ;
- le traitement des données sensibles (ethnie, opinion politique, santé, etc.) ;
- le traitement de données relatives à des personnes vulnérables (enfants par exemple) ;
- le traitement à grande échelle des données ;
- le croisement de plusieurs ensembles de données ;
- les usages innovants ou technologiques ;
- l'exclusion des individus (déchéance de droit, résiliation d'un contrat, etc.).
Enfin, des actions particulières sont exigées si vous transférez des données personnelles en dehors des frontières de l'Union européenne. Vous devez notamment vérifier si une législation nationale encadre la protection des données et si celle-ci est reconnue par la Commission européenne. Dans le cas contraire, vous aurez l'obligation de définir le cadre juridique des transferts de données afin d'en assurer la protection à l'étranger.
Comment savoir si l’on doit appliquer le RGPD ?
Vous pouvez tout d'abord contacter la Cnil pour savoir si votre organisation est concernée par le RGPD, mais aussi pour déterminer vos obligations en la matière. Vous pouvez contacter un agent :
- par téléphone, au 01 53 73 22 22, tous les jours ouvrés de 9h30 à 17h ;
- par Internet, via les services en ligne de la Cnil ;
- par courrier, en écrivant à : Commission nationale de l'informatique et des libertés - 3 Place de Fontenoy - TSA 80715 - 75334 Paris Cedex 07.
Pour évaluer vos obligations, notamment en tant que TPE ou PME, les pouvoirs publics mettent également à votre disposition un autodiagnostic RGPD. Il s’agit d’un questionnaire vous permettant de déterminer votre conformité en seulement 4 minutes. Il porte notamment sur :
- votre fichier client ;
- votre programme de fidélité ;
- votre site Internet ;
- vos salariés.
Quelles conséquences pour les entreprises concernées par le RGPD ?
Si votre organisation est concernée par le Règlement général sur la protection des données, cela peut avoir plusieurs conséquences notables sur votre activité. Vous devez notamment :
- obtenir le consentement des individus dont vous collectez les informations personnelles ;
- renforcer le droit des personnes dont vous traitez les données ;
- inclure la protection des données dès la conception d'un produit ou d'un service ;
- mettre en œuvre de nouveaux outils de conformité, dont le registre de traitement, l'alerte des failles de sécurité ou encore l'analyse d'impact relative à la protection des données (AIPD) ;
- désigner un responsable du traitement des données, voire même un DPO par exemple (délégué à la protection des données) ;
- vous soumettre à tout éventuel contrôle, qu’il soit aléatoire ou qu’il fasse suite à une dénonciation ;
- assumer des sanctions en cas de manquement au RGPD, pouvant représenter jusqu'à 4 % de votre chiffre d'affaires annuel.